Embed Size (px)
Citation preview
16
Am 11.11.2015 hat Microsoft CEO Satya Nadella verkün-det, dass es ab Mitte 2016 ausgewählte Microsoft Cloud-services auch aus Rechenzentren in Deutschland geben wird. Ab dem 2. Halbjahr 2016 sollen die neuen Cloud-Dienste stufenweise in Deutschland ausgerollt werden, wobei Microsoft Azure, Office 365 und CRM online dann ausschließlich aus deutschen Rechenzentren der T-Sys-tems heraus betrieben werden sollen. Aber: Liegen wirk-liche alle meine Daten im Deutschen Rechenzentrum? Kann ich eine bestehende Umgebung in die Deutsche Cloud migrieren? Und was ist aus rechtlichen Gesichts-punkten zu beachten?
die deuTsCHe MiCrosofT-Cloud aus TeCHnisCHer siCHT Nach dem neuen Konzept von Microsoft befinden sich – technisch gesehen – sämtliche Kundendaten und -syste-me in den beiden deutschen Rechenzentren Magdeburg
(Germany Northeast) und Frankfurt/Main (Germany Central). Zwischen den beiden Rechenzentren in Deutschland erfolgt eine Spiegelung/Datenabgleich, um eine Notfall-Wiederherstellung zu ermöglichen. Zudem besteht zwischen den beiden Rechenzentren ein eigen-ständiges deutsches, vom öffentlichen Internet getrenn-tes Datennetzwerk.
zUgRIFFE aUF datEN & SyStEME UNd dIE zUgRIFFSkoNtRoLLESogenannte „Role Based Access Control (RBAC)“-Tools kontrollieren jeglichen Zugriff auf Kundendaten, wäh-rend die Mitarbeiter von Microsoft selbst keinerlei ad-ministrative Top-Level-Rechte haben, also von sich aus keinen Zugriff auf Kundendaten nehmen können. Selbst im Rahmen von Wartung und Support sowie zur Instal-lation von Software-Updates muss der Zugriff vom deut-schen Datentreuhänder zugelassen werden. Dabei wird, basierend auf dem Role Based Access Control-Konzept,
dIE MICRoSoFt CLoUd IN dEUtSChLaNd
Eine rechtliche und technische allianz der t-Systems und Microsoft
visualstudio1.de 17
nur Zugriff auf die explizit betroffenen Komponenten wie z.B. betroffene Postfächer, Server oder andere Dienste ge-währt. Das Rollen-Konzept regelt dabei auch, ob lesende, teilnehmende oder administrative Rechte er-teilt werden. Im Regelbetrieb hat Microsoft also keinerlei Zugriff auf Kundendaten und die dazu-gehörigen Systeme. Nur im Einzelfall werden zeitlich befristet Rechte gewährt. Die Rechtegewährung nimmt dabei einzig der Datentreuhän-der vor, nicht Microsoft selbst. Der Zugriff auf die Kun-dendaten wird im Bedarfsfall protokolliert und in einem Logbuch festgehalten, auf das Microsoft ebenfalls keinen Zugriff hat. Während eines Zugriffs seitens Microsoft, z.B. im Supportfall, gilt das 4-Augen Prinzip. Es wird also jederzeit von einem Mitarbeiter im Deutschen Rechen-zentrum überwacht was genau getan wird und auf welche Daten zugegriffen wird.
datENVERkEhR IN UNd zWISChEN dEN REChENzENtRENEin weiterer Sicherheitsaspekt betrifft die Absicherung des Datenverkehrs innerhalb der beiden Rechenzentren und den Datenabgleich zwischen den Rechenzentren. Die komplette Kommunikation ist SSL/TLS verschlüs-selt. Die dazu benötigten Zertifikate werden nicht von Microsoft selbst und auch nicht von dem Datentreuhän-der T-Systems ausgestellt. Dies geschieht durch einen weiteren unabhängigen Partner. Die Zertifikate mit de-nen die Kommunikation verschlüsselt wird, werden von der Zertifizierungsstelle D-TRUST der Bundesdruckerei geliefert. Ganz im Sinne “Sicherheit Made in Germany” können Kunden auch ihre eigenen Anwendungen in der Microsoft Deutschland Cloud mit den Zertifikaten der D-TRUST absichern. So wird zusätzlich sichergestellt, dass auch der Datenverkehr innerhalb der Microsoft Cloud in Deutschland sicher vor unbefugten Zugriffen ist.
Anders sieht es mit dem Zugriff der Kunden auf ih-re Daten und Systeme aus. Dieser Zugriff geschieht in der Regel weiterhin über das öffentliche Internet. Hier kann das Feature „ExpressRoute“ Abhilfe schaffen. „Ex-pressRoute“ ist ein zusätzlicher Service der von Microsoft zusammen mit lokalen Internet Providern angeboten wird. Der Service ermöglicht es, den Datenverkehr vom Firmennetzwerk zu den Microsoft Rechenzentren über explizite, nicht öffentliche Leitungen zu realisieren. Das Angebot steht, abhängig vom lokalen Internet Provider, für den Zugriff auf die Cloud Services von Microsoft zur Verfügung.
LIEgEN WIRkLICh aLLE kUNdENdatEN IM dEUtSChEN REChENzENtRUM?Die Frage, ob wirklich alle Kundendaten sowie sämtliche personenbezogenen Daten ausnahmslos in den deutschen Rechenzentren liegen, kann mit JA beantwortet werden. Im Bereich der Benutzerverwaltung werden die Routingin-formationen allerdings voraussichtlich über die Microsoft Rechenzentren weltweit verteilt. Diese dienen aber ledig-lich der Identifikation, wohin ein Aufruf gelenkt werden muss. Es werden dabei keine personenbezogenen Daten in diesen Indextabellen gespeichert. Die Deutsche Cloud hat demnach auch keinerlei Verbindungen zu anderen Public Cloud Systemen von Microsoft. Daraus ergibt sich u. a. auch, dass es keine gemischten Umgebungen geben kann; es ist
also nicht möglich, einen Teil des Services innerhalb einer Umgebung (z.B. Email-Dienste in der Deutschen Cloud) und andere Services innerhalb einer anderen Umgebung (wie z.B. Dokumentenablage-System in einem anderen Mi-crosoft Rechenzentrum in der Public Cloud von Microsoft) abzulegen. Diese technisch bedingte Einschränkung kann für Bestandskunden, die ihre Systeme und Lösungen in die Deutsche Cloud umziehen wollen, eine Herausforderung darstellen. So wie bei anderen vergleichbaren Szenarien von Microsoft wird es künftig wohl die Möglichkeit einer Migration für Kunden, die bereits Services in Microsoft Rechenzentren nutzen, in die Deutsche Cloud geben. In diesem Fall müssen dann aber ausnahmslos alle Kompo-nenten umgezogen werden. Wie genau so eine Migration ablaufen wird, welcher Aufwand dabei entsteht und ob es während der Migration zu Unterbrechungen und Ausfäl-len kommen wird, ist dabei noch offen.
RoadMaP UNd PREISELaut Presseberichten läuft der Betrieb in den beiden Re-chenzentren bereits mit den ersten Beta Kunden (Mi-crosoft Cloud Deutschland – Die Azure Preview ist ge- startet - https://blogs.technet.microsoft.com/microsoft_presse/microsoft-cloud-deutschland-die-azure-preview-ist-gestartet/ ). Ein genaues Datum ab wann die Servi-ces aus der Deutschen Cloud für alle Interessenten zur Verfügung stehen werden, wurde bislang nicht genannt. Interessenten können sich untern der Mailadresse [email protected] für die Pilotbetrieb melden. Technisch bedingt werden die ersten Services Azure bzw. Azure AD Dienste sein. Das ergibt sich aus der Abhängig-keit von Office 365 Diensten wie z.B. SharePoint Online oder Exchange Online die ja jeweils ein Azure AD im Hin-tergrund benötigen. Informationen wie die genaue Road-map aussieht und ab wann welcher Service zur Verfügung stehen wird, sind aktuell nicht bekannt. Ebenfalls unklar ist, was die Microsoft Services Azure, Office 365 und CRM Online aus der deutschen Cloud kosten werden. Es
mit Autor Hannes Preishuber
Monatlich bundesweit Termine.
PPEDV.DE/UW pp
edv
AG, M
arkt
lers
tr. 1
5b, 8
4489
Bur
ghau
sen,
Han
delsr
egist
er T
raun
stei
n,
HRB
1270
3, S
t.Nr.
131-
4541
2, V
orst
and:
Han
nes P
reish
uber
. Bi
ldqu
elle
: ©
Bre
tt Cr
itchl
ey |
Drea
mst
ime.
com
5
TRAINING
TRAINING
18
ist stark davon auszugehen, dass die Preise über denen der Services aus der Public Cloud liegen werden. Wie hoch die Kosten genau sind bzw. um wie viel höher die Preise sein werden, ist aber noch unklar.
die deuTsCHe Mi-CrosofT-Cloud aus reCHTliCHer siCHT Mit der „deutschen Cloud“ verspre-chen Microsoft und T-Systems ihren deutschen Kunden die volle Kont-rolle und Entscheidungshoheit über ihre Daten und damit letztlich auch Abhilfe gegen den Zugriff von aus-ländischen Behörden. Nicht zuletzt aufgrund der Entscheidung des Eu-GH zum Safe-Harbor-Abkommen und des noch anhängigen „Microsoft Ireland Case“ ist die Nachfrage nach einer rein deutschen Cloud offenbar groß: Nach der KPMG-BITKOM Stu-die „Cloud-Monitor 2015“ entspricht ein rein nationales Microsoft-Ange-bot den Wünschen der Kunden, denn 83% der deutschen Unternehmen er-warten, dass ihr Cloud-Anbieter sei-ne Rechenzentren ausschließlich in Deutschland betreibt. Das rechtliche Novum der Microsoft-Cloud: Es wird in dem neuen Modell nicht nur aus-schließlich Rechenzentren und Da-tenleitungen in Deutschland geben, die nur durch einen deutschen Provi-der betrieben werden, sondern auch einen deutschen „Datentreuhänder“. Dieser Beitrag untersucht, wie das Modell des deutschen Datentreuhän-ders rechtlich zu bewerten ist. n Grundsatzfrage: Wie weit reichen
die Eingriffsbefugnisse von US- Behörden?
n Eingriffsbefugnisse nach US-RechtUnter bestimmten Umständen können US-Provider wie Microsoft verpflichtet werden, auch die in euro- päischen Rechenzentren gespeicher- ten Daten an US-Behörden heraus- zugeben.
MICRoSoFt VS. UNItEd StatES oF aMERICaIn welchem Maß US-Behörden Ge-brauch von den beschriebenen Zu-griffsrechten machen, ist nicht trans-parent, weil die Anbieter bei den He-rausgabe-Anordnungen häufig durch sog. „Gag Orders“ zur Verschwie-genheit verpflichtet werden und
Betroffene daher meist gar nicht von den Eingriffen Kenntnis erlangen.
daS NEUE MICRoSoFt-koNzEPt FüR EINE SIChERE „dEUtSChE CLoUd“Die europäische Tochtergesellschaft Microsoft Irland Ltd. hat ihren eu-ropäischen Kunden schon bisher die Möglichkeit gegeben, durch den Ab-schluss von Zusatzverträgen die Da-tenverarbeitung im Rahmen ihrer Cloud-Produkte über die EU-Stan-dardvertragsklauseln oder das Safe-Harbor Abkommen zu legitimieren. Die Möglichkeit der ausschließlichen Datenverarbeitung in Rechenzentren innerhalb der Europäischen Union (für Microsoft Azure insbesondere in Irland und den Niederlanden) be-stand ebenfalls schon. Nun hat Mi-crosoft für die „deutsche Cloud“ ver-schiedene technische und vertragli-che Neuerungen eingeführt.
dIE REChtLIChE koNStRUktIoN dER datENtREUhaNdZusätzlich zu dem Lizenzvertrag, den ein Kunde (in der Regel über einen Reseller) über die Nutzung der Cloud-Services mit Microsoft schließt, werden bei der deutschen Cloud „Treuhandvereinbarungen“ sowohl zwischen Microsoft und T-Systems als auch zwischen T-Systems und den jeweiligen Kunden geschlos-sen. Nach diesen Vereinbarungen
kontrolliert allein die T-Systems als „deutscher Datentreuhänder“ des Kunden den physischen und techni-schen Zugriff auf die Kundendaten. Auch nach dem „Partnerschaftsver-trag“ zwischen Microsoft und T-Sys-tems ist allein der Datentreuhänder berechtigt und (aufgrund der zu-vor dargestellten technischen Infra-struktur) auch faktisch in der Lage, Zugriff auf die Kundendaten und/oder auf die Infrastruktur, auf der sich Kundendaten befinden, zu neh-men. Microsoft kann dagegen nur mit Hilfe von T-Systems als Daten-treuhänder und/oder mit Erlaubnis des Kunden Zugriff erhalten. Der Da-tentreuhänder überwacht im Auftrag des Kunden jeden Zugriff.
SChUtzSChILd gEgEN UNbEREChtIgtEN zUgRIFF?Die entscheidende Frage ist also, ob diese Konstruktion der Datentreu-hand am Ende einen Zugriff auf in Deutschland abgelegt Daten aus dem Ausland heraus abwenden kann. An-ders gefragt: Was passiert, wenn die NSA (oder beispielsweise in einem US-Rechtsstreit ein Prozessgegner) die Herausgabe von Daten wünscht?
dR. MIChaEL Rath wurde 1969 geboren. er studierte rechts-wissenschaften an den universitäten in saarbrücken und Köln und war an beiden hochschulen als wissenschaftlicher Mitar- beiter tätig. berufsbegleitend hat Dr. Michael rath an der universität Würzburg über das recht der internet-such- maschinen promoviert. Dr. Michael rath ist rechtsanwalt, fachanwalt für informationstechnologie-recht und partner der luther rechtsanwaltsgesellschaft mbh mit sitz in Köln.
NICkI boRELL ist seit 2003 erfolgreich in der it branche tätig. Arbeitsumfeld sind sowohl KMu als auch enterprise-umge-bungen und der bereich behördlicher Datenhaltung. Als freier Autor, trainer und berater liegt sein fokus auf dem Microsoft technologie stack. seit 2011 ist nicki borell zusammen mit dem team von experts inside in den bereichen sharepoint, office 365, und Windows Azure tätig. Dabei erstrecken sich seine tätigkeitsfelder vom technischen consulting über pro-
jektmanagement bis hin zur strategische prozessberatung. nicki borell ist professi-onal Member der german speaker Association e.v., Microsoft zertifizierter system engineer, Database Administrator, it-professional und Microsoft Mvp für office servers & services.
